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PROCEDE DE C0NTR6LE D'ACCES DANS UNE WIEWIOIRE FLASH ET 
SYSTEMS POUR LA WISE EN CEUVRE D'UN TEL PROCEDE 



La presents invention conceme un procecl§ de controle d'acc^s 
dans una m6moire flash d'un module ^lectronique ainsi que le module pour 
la mise en oeuvre d'un tel proc§d6. 

Uinvention s'applique selon una fomne de realisation particuliere, a 
un objet portable tel qu'une carte 6 circuit int6gr6. Les cartes ^ circuits 
int§gr6s peuvent etre par exemple des cartes d memoire ou des cartes a 
microprocesseur. 

Dans le cadre de IMnvention, le terme "objet portable" doit §tre 
comprls dans son sens le plus g§n6ral. II conceme notamment toutes sortes 
de terminaux I6gers munis d'une puce §lectronique, et plus particulidrement 
les cartes a puce proprement dites. La puce electronique est munie elle- 
meme de moyens de traitement d'infonnations (par exemple un 
microprocesseur) et de moyens de memorisation d'infonnations. 

DOMAINE TECHNIQUE 

Actuellement. une nouvelle technologie de memoire non volatile est 
en cours d'introduction dans les cartes k puces : la technologie Flash. La 
memoire Flash est organises en secteurs comme le montre la figure 1 
(secteurs 1 . 2 et 3). Chaque secteur est un bloc memoire de taille unique. 
L'espace memoire de chaque secteur est divise en pages memoire, par 
exemple de 128 octets, regroupees en partitions, ou segments, (ex. : 
partition Applil. partition Appli2. partition AppliS et partition OS du secteur 1 
sur la figure 1) dans lesquelles sont implantes divers modules logiciels 
(ApplH. Appli2. Appli3, OS). Une partition rassemble I'ensemble des pages 
d'un secteur attribu6 a un m§me proprietaire. 

Dans les cartes multi-applicatives. plusieurs applications- peuvent 
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partager un m§me secteur (par exemple, les applications 1. 2 et 3 se 
partagent le secteur 1 sur la figure 1 ). 

Les controleurs d'acces de type connu autorisent a une application 
donnde I'acces en ecriture ^ un secteur dont elle est proprietaire ou qu'elle 
5 partage. Dans la memoire Flash, un secteur definit I'unite de memoire 
effagable : cette sp6cificite implique I'effacement de la totality d'un secteur si 
Ton desire modifier une partie non vierge de son contenu, telle que par 
exemple la modification d'une partition. Pour ecrire dans une partie non 
vierge d'un secteur, la totality du secteur est effac§e : un secteur constitue 

10 une unite indivisible pour I'effacement. Ainsi. comme le montre la figure 1 , si 
I'application 1 souhaite modifier le secteur 1. elle poun-a effacer les donn^es 
de I'application 2 ou meme du systeme d'exploitation. Lors de I'effacement 
avant 6criture, des dommages irremediables sur des partitions contenant 
des donnees d'autres applications peuvent etre causes. 

^5 Une solution connue est d'attribuer un secteur entier ^ un seul 

proprietaire. Cependant, lorsque le secteur est de grande taille. 11 en r6sulte 
une perte importante de memoire et un manque de souplesse. 

Un but de la pr6sente invention est d'optimiser I'ecriture dans une 
mimoire Flash. 

20 

RESUME DE L'INVENTION 

La presente invention concerne un precede de controle d'acces a un 
secteur d'une memoire de type Flash d'un module electronique consistent a 
25 verifier que le proprietaire des donn§es a ecrire est autorise S acceder en 
ecriture a une partition dudit secteur caracterise en ce qu'll consiste ^ 
verifier au moins une regie suppldmentaire sur le secteur concerne de 
manidre a autoriser un eventuel effacement de I'ensemble dudit secteur 
avant d'ecrire dans celui-d. 

^° " prigggfim irfveriCbn concerne egaTement" le "module" electronique 
comportant des moyens de traitement de rinfomiation. une memoire non 



volatile de type FLASH caract^rise en ce qu'il comporte un gestionnaire de 
memoire consistant ^ verifier sur le secteur conceme au moins une regie 
suppl6mentaire a celle consistant a verifier que le propri§taire des donnees 
§ ecrire est autoris6 d acc§der en §criture S une partition dudit secteur. de 
5 mani^re-a autoriser un eventuel effacement de fensemble dudit secteur 
avant d'Scrire dans celui-d. 

DESCRIPTION SOMMAIRE DES DESSINS 

10 D'autres buts, avantages et caracterlstiques de IMnvention 

apparaTtront a la lecture de la description qui va suivre de la mise en oeuvre 
du precede selon I'inventfon et d'un mode de realisation d'un ensemble 
§lectronique adapte pour cette mise en oeuvre, donnes a titre d'exemple rioi^ 
limitatif en reference aux dessins ci-annexes dans lesquels : 

15 -la figure 1 montre une representation sch§matique de I'organisation 

d'une memoire Flash ; 

-la figure 2 montre une representation schfematique d'un mode de 
realisation non limitatif d'une unite electronique d microprocesseur 
adaptee pour mettre en oeuvre le precede selon Tinvention ; 
20 -la figure 3 represente de maniere schematique les differentes 

couches logicielles et materielles du systeme de controle d'acces 
selon la presente invention. 

MANIERE DE REALISER L'INVENTiON 

25 

Le precede selon I'invention vise ^ optimiser I'ecriture dans une 
memoire Flash d'un systeme electronique, tel que par exemple tout objet 
portable muni d'un module electronique et plus particulierement une carte a 
circuit integre. Le systeme electronique comprend au moins un processeur 
30 et une memoire non-volatile de type Flash. Par memoire de type flash, on 
entend dans la description qui suit toute memoire organisee en secteur, le 



secteur constituant une unite indivisible d'effacement, le secteur etant lui- 
meme subdivise en pages memoire susceptibles d'etre attribuees a des 
proprietaires differents. 

A titre d'exemple non limitatif, le systdme eiectronique d6crit dans ce 
5 qui suit correspond d un objet portable comprenant un module eiectronique 
1 illustr6 sur la figure 1. De tels modules sort r6alls6s le plus souvent sous 
la forme d'un microcircuit eiectronique int^gre monolithique, ou puce, qui 
une fois proteg6 physiquement par tout moyen connu peut etre monte sur un 
objet portatif tel que par exemple une carte a puce, carte S microcircuit ou 

10 autre utilisabie dans divers domaines. 

Le module eiectronique 1 a microprocesseur comprend un 
microprocesseur CPU 3 rel\6 de fagon bidirectionnelle par un bus 5 interne ^ 
une m§moire 7 non volatile de type Flash contenant des applications 9, 
applil, appli2, appliS, a ex^cuter, une memoire 11 vive de type RAM, des 

1 5 moyens 1 3 I/O d'entree/sortie pour communiquer avec I'exterieur. 

Comme represente sur la figure 3, on distingue § partir de la couche 
materielle constituee de la m§moire Flash 7 et d'un controleur 15 d'acc^s a 
la m§moire 7, une couche logicielle comprenant un gestionnaire 17 de 
memoire associ6 ou non ^ un pilote 19 et une couche logicielle comprenant 

20 des applications 21 r6sidantes par exemple un programme du systeme 
d'exploitation et des applications 23 « utilisateur » con-espondant a des 
fonctionnalit^s precises (exemple pour une carte a circuit integre : carte 
bancaire, carte sante, carte d' identification de personnes). Cette 
representation illustre de maniere-schematique uniquement le syst6me de 

25 controle d'acces a la memoire. sachant que les couches materielles et 
logicielles comprennent beaucoup . d'autres modules de fbnctlonnaljt6s 
diverses. 

Le contrdleur 15 d'acces a pour fonction de verifier que celui qui 
veut acc6der d une adresse de la memoire d§tient les droits pour le faire. De 
30 fagon generale. le-contrdteurrSd'adces pe^^ sous la fdnrie de 

fen§tres ouvertes sur une suite de pages (tel qu'un dispositif de 



segmentation MPU) ou isous la forme de matrices d'acc^s semi-statiques 
associant des attributs aux pages (dispositif de type partition MAC). 
L'association d'applications a des zones memoire se fait soit a la 
configuration soit lors de la selection d'une application. De tels mecanismes 
5. n'autorisent I'acces en memoire que pour des couples predetermines code / 
zone de donnees. Dans le cas d'une matrice d'acces, par exemple, le role 
du contr6leur d'acces au moment de l'ex6cution se limite a une simple 
comparaison entre I'identit6 du « propri6taire » de la page et I'identite du 
module qui cherche ^ acceder a cette page. 
10 Selon la pr§sente Invention, le gestionnaire 17 de memoire 

intercepte les ecritures en memoire 7 Flash et effectue une verification 
supplementaire sur le secteur concern^ avant d'autoriser ou pas 
I'effacement du secteur consecutif a I'ecriture. La verification determine si 
I'effacement provoque par I'ecriture n'aura pas pour consequence de 
15 supprimer des donnees appartenant a d'autres proprietaires. Le terme 
« donnee » dans la present© description recouvre tout type d'infonnations 
enregistrees dans la m§moire que ce soit du code, des donnees ou autres. 
Les ecritures ne doivent jamais se faire directement en memoire, ni par 
appel direct S un pilote, mais se faIre via appel audit gestionnaire d^ 
20 memoire. Le gestionnaire peut egalement verifier les droits en ecritur© dans 
la page indiquee. 

Le procede selon I'invention consiste a I'alde du gestionnaire de 
memoire. a verifier un ensemble de regies pour I'ensemble du secteur 
conceme, de maniere a autoriser I'effacement d'un secteur avant d'6crire 

25 dans celui-ci. 

Le jeu de regie portent sur le secteur prend en consideration le 
proprietaire ou les proprietaires des pages du segment conceme et le 
contenu des pages. Le jeu de regies verifie que I'ecriture ne peut pas 
supprimer des donnees a conserver et en particuller de donnees d'un 
30 proprietaire autre que celui qui requiert I'ecriture. 

Ainsi la verification s'appuie sur une ou plusieurs regle(s) du type : 
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L'ecriture est autorisee si : 
o remplacement dans le secteur duquel Tecriture 
doit se faire est vierge, sachant que le secteur n'est pas 
forcement totalement vierge ; Tecriture n'engendre pas 
5 d'effacement ; 

o Et/ou le secteur entier appartient au meme 
proprietaire ; 

o. Et/ou les pages n'appartenant pas au m&me 
proprietaire sont vierges ; 
10 o Et/ou les pages n'appartenant pas au. m§me 

proprietaire sont marques comme effagables. 
Dans la presente description, on dit qu'un secteur est vierge lorsque 
aucune ecriture n'a ete realisee dans le secteur ou lorsque le secteur a ete 
efface et qu'aucune nouvelle ecriture n'a ete realisee depuis Teffacement. 
15 Selon une forme de realisation particuliere de Tinvention, le module 

selon la presente invention comprend I'ensemble de ces regies. 
Le gestionnaire dispose de : 

une description 27 de la memoire stockee en memoire : 
o nombre de secteurs 
20 o nombres de pages par secteur 

o proprietaire de cheque page 
o le statut des pages (effagable, vierge ou non 

vierge) 

une description de la requete en cours : 
25 o le secteur conceme (a partir de I'adresse) 

o ie proprietaire emetteur de ia requete 
et un jeu de regies 29. 
Le gestionnaire de memoire permet a un proprietaire de marquer des 
pages lui appartenant comme effagables. Comme vu precedemment, le 
30- gestionnaire- conserve le statut des~pages marquees comme effagables dans 
la description 27. 
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De plus, le gestionnaire de memoire doit respecter les conditions 
suivantes : 

-Le code de verification doit etre execute avec les privileges 
n§cessaires pour autoriser ou pas I'effacement d'un secteur ; 
5 -Tous les acces memoires passent obligatoirement par ce 

gestionnaire; 

-Le code ne doit pas §tre alterable par le code d'un autre 

propri6taire non autorise. 

Une Interface 25 de programmation applicative (API) simple 
10 decoulant des contraintes pr§c§dentes pourrait comprendre par exemple les 
fonctions suivantes : 

- error nv_write(dst_addr, src_addr, length): 

o dst_addr: adresse de destination ou seront §crites, 
les donn6es 

^5 o src_addr : adresse source ^ partir de laquelle les , 

donnees seront lues pour etre §crites 

o length : longueur des donnees a ecrire. 
Cette fonction pennet d*6crire en memoire des donnees lues a une . 
certaine adresse apr§s avoir v6rifie le jeu de r§gles. 
20 - error nv_fill(dst_addr, pattern, length): 

o dstjaddr : adresse de destination ou oommencera 
le remplissage de le m§moire avec le pattern requis 
o pattern : octet d reproduire 
o length : taille de la zone d remplir 
25 Cette fonction permet d'ecrire en memoire des donnees d'un « pattern » 
apres avoir verifie le jeu de regies. 

Dans rexemple illustre sur la figure 1, si les applications et le 
systeme d'exploitation n'autorisent aucune modification ou aucun effacement 
par un tiers : 

30 o Dans le secteur 1, le gestionnaire n'autorisera 

aucune des applications, ni le syst§me d'exploitation a effacer le secteur 
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car le secteur est partage entre 4 partitions de proprietaires diffSrents et 
aucun proprietaire autorise son voisin a modifier sa propre partition. Le 
secteur ne pounra etre efface uniquement que si les 4 partitions sont 
marquees par leur proprietaire comme effagables. 

o Dans le cas du secteur 2, le gestionnaire 
autorisera rapplication n^'Z a effacer sa propre partition puisque le reste du 
secteur est vierge ; 

o Dans le cas du secteur 3, le secteur appartient 

entierement au systdme d'exploitation et done le syst^me d'exploitation a 

tous les droits sur ce secteur. II peut done I'effacer. 



REVENDICATIONS 



1-Procede de controle d'acces a un secteur d'une memoire de type 
Flash d'un module electronique consistant a verifier que le proprietaire des 
5 donnees a ecrire est autorise a acceder en ecriture S una partition dudit 
secteur caracterise en ce qu'il consiste a verifier au moins una regie 
supplementaire sur le secteur conceme de manidre a autoriser un 6ventuel 
effacement de {'ensemble dudit secteur avant d'6crire dans celui-ci. 

10 2-Procede selon la revendication 1, caracterise en ce que la ou les 

n§gfe(s) supplementaire(s) pennette(nt) de verifier que l'§criture n'entraine 
pas la suppression de donndes de donnees d'un proprietaire autre que celui 
qui requiert I'acces en ecriture. 

15 3-Procede selon la revendication 2, caracterise en ce que la 

verification s'appuie sur une regie ou une combinaison de regies du type : 
I'ecriture est autorisee si : 

o Le secteur enlier appartient au m§me propri6taire, et/ou 
o Les pages n'appartenant pas au m§me propridtaire sont 
20 vierges, et/ou. 

o Les pages n'appartenant pas au mSme proprietaire sont 
marques comma eflagables, et/ou 

o L'emplacement dans le secteur duquel I'ecriture doit se faire 
est vierge, le secteurn'etant pas forcSment totalement vierge. 

25 

4-Procede selon Tune des revendications 1 a 3, caract§rise en ce 
qu'il consiste a marquer des pages d'un secteur appartenant au proprietaire 
le demandant comma effagables. 

30 5-Module electronique comportant des moyens de traitement de 

I'information, una memoire non volatile de type FLASH caracterise en ce 
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qu'il comporte un gestionnaire 17 de m§moire consistant a verifier sur le 
serteur concern^ au moins une r§gle supplementaire ^ celle consistant a 
verifier que le proprietaire des donnees a §crire est autoris§ a acceder en 
ecriture a une partition dudit secteur. de maniere a autoriser un 6ventuel 
effacement de Tensemble dudit secteur avant d"6crire dans celui-ci. 

6- Module selon la revendlcatlon 5. caracterise en ce qu'il intercepts 
toutes les ecritures en memoire Flash. 

7- Module selon Tune des revendications 5 ou 6, caracterise en ce 
que le gestionnaire 17 de m6moire a acc§s S une description 27 des 
secteurs de la memoire comprenant le statut des pages desdits secteurs.- 

8- Carte caracterisee en ce qu'elle comprend le module 61ectronique 
selon Tune des revendications 5 6 7. 

Q-Programme d'ordinateur comprenant des instructions de code de 
programme pour I'execution des etapes du procede selon Tune des 
revendications 1 a 4 lorsque ledit programme est execute dans un ensemble 
electronique. 
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ABREGE 

La presents invention concerne un procede de controle d'acces a un 
secteur d'une memoire de type Flash d'un module electronique conslstant ^ 
verifier que le proprietaire des donnees a ecrire est autoris§ a acceder en 
Venture a une partition dudit secteur. Le procede consiste d verifier au moins 
5 une regie suppl6mentaire sur le secteur concern^ de maniere a autoriser un 
eventuel effacement de I'ensemble dudit secteur avant d'6crire dans celui-ci. 
La ou les regies pennette(nt) de verifier que I'effacement du secteur 
concerne n'entraine pas la suppression de donnees d conserves 

La presente invention concerne egalement le module Electronique 
10 dans lequel le procede est implemente. 

Figure de rabr6ge : Fig.3 
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